4.ベンダーやビジネスパートナー企業に監査を要求する
CommvaultとCITO Researchが2017年に実施した調査によれば、企業の幹部やITリーダーの約80%がクラウドは不可欠な技術だと考えている。しかし、自社のデータセンターから外部のサービスへの移行が進めば、それだけベンダーやビジネスパートナーにIT監査レポートを要求することが重要になる。企業はポリシーとして、ベンダーと契約を結ぶ場合、定期的にセキュリティ監査レポートの提示を要求するよう定めるべきだ。一方、ベンダーの側も、SLAの一部として、毎年セキュリティ監査レポートを要求されることを前提とする必要がある。
5.最新のセキュリティ教育を継続的に行う
新入社員研修では、必ずサイバーセキュリティ教育を実施すべきであり、新入社員には、トレーニングの内容を理解したことを確認するサインをさせるべきだ。また、全従業員に対して、サイバーセキュリティ対策に関する最新の教育を毎年施す必要がある。これによって、従業員に常にセキュリティポリシーやセキュリティ対策を意識させることができるほか、ポリシーに追加や変更があった場合にも、その内容を周知させることができる。
6.エッジに注意を払う
「Industry 4.0」やその他のリモートコンピューティング戦略が進むにつれ、企業のコンピューティングは、データセンターからエッジへと移っている。これは例えば、アイルランドに国外工場を持つ製造業のメーカーでは、現場の担当者に、自動化されたロボットを運用させたり、工場内にあるサーバでアナリティクスを実行させることになる可能性が高いことを意味している。当然、それらのデバイスのソフトウェアとハードウェアのセキュリティは保つ必要があるが、それらのデバイスを現場で管理する際に使うポリシーや手順は、ITに詳しくない現場の人間が運用することを前提に策定されなくてはならない。これはその企業とIT部門にとってセキュリティ上の弱点となる可能性が高く、ITに詳しくない人材にセキュリティポリシーやセキュリティ対策のトレーニングを施す必要があると同時に、IT部門や監査部門による監督も必要になる。
7.定期的にデータをバックアップし、問題がないことを確認する
データが破壊されたり、ランサムウェア攻撃で人質に取られたりした場合でも、データのバックアップを毎日取っていれば、最低でも最小限の被害で前日のデータにロールバックすることができる。これは、比較的実現が容易なポリシー・セキュリティ対策だと言える。ところが企業では、バックアップを実施しているかどうかよりも、バックアップからの復旧が正常に行えるとは限らないことの方が大きな問題になりがちだ。企業のIT部門は、サイバーセキュリティポリシーの一環として、最低でも年に1回はデータのバックアップや災害復旧の仕組みが正常に機能することをテストすべきだ。
